几种常见的反调试方法

最新推荐文章于 2025-10-23 08:37:28 发布
原创 最新推荐文章于 2025-10-23 08:37:28 发布 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了多种常见的反调试技术,包括API钩子检测、内存扫描检测、调试器标志检查等,旨在提高软件的安全性和防止逆向工程分析。通过理解这些技术,开发者可以更好地保护自己的应用程序免受恶意调试。 
#include <Windows.h>
#include <stdio.h>

BOOL IsDebug1()
{
   
   
	return IsDebuggerPresent();
}

BOOL IsDebug2()
{
   
   
	HANDLE hProcess = GetCurrentProcess();
	BOOL bDebug;
	if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug))
	{
   
   
		return TRUE;
	}
	return bDebug;
}

BOOL IsDebug3()
{
   
   
	HANDLE hProcess = GetCurrentProcess();
	HMODULE hDll = GetModuleHandleA("ntdll.dll");
	FARPROC NtQueryInformationProcess = GetProcAddress(hDll, "NtQueryInformationProcess");
	DWORD IsDebug;
	if (0 == ((ULONG  (WINAPI *)(HANDLE,DWORD,DWORD*,DWORD,DWORD))NtQueryInformationProcess)(hProcess,0x7, &IsDebug, 4, 0) &&
		IsDebug)
	{
   
   
		return TRUE;
	}
最低0.47元/天 解锁文章
hambaga
关注
JS逆向反调试技术,三种绕过无限debugger阻止打开控制台的方法
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
03-17 2114
窗口大小检测:检测与,异常时关闭页面构造器断点:利用让代码进入无限debugger定时器debugger不断触发debugger,让你无法操作菜单中选择"停用断点"控制台执行clearInterval(定时器变量)停止debugger使用Hook 关键函数,彻底绕过debugger这些技巧在调试 JS 逆向分析时非常实用,希望能帮到大家!如果你有更好的反调试破解方法,欢迎评论区交流!
常见静态反调试技术总结
lonmar的博客
06-24 1509
静态反调试技术 PEB:BeingDebugged/Ldr /ProcessHeap /NtGlobalFlag NtQueryInformationProcess:ProcessDebugPort/ProcessDebugObjectHandle/ProcessDebugFlags TLS ETC
汇总病毒样本的常用反调试技术、反分析技巧(持续更新)
ATree的博客
09-06 1383
自己在看到一些没见过的反调试技术时,感觉很好奇,不清楚时如何反调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些反调试手段,这样后面大家如果碰到类似的反调试技术时,都会很容易理解这段恶意代码的作用了。 1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境 2、下图中的v3的...
手把手搞懂反调试攻防:从无限 Debugger 绕到 DevTools 检测破
最新发布
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
10-23 615
本文探讨了Web安全中的反调试技术,重点分析了无限Debugger和开发者工具检测的实现原理与绕过方法。无限Debugger通过循环或条件触发debugger语句干扰调试,可采用禁用断点、代码替换或环境欺骗等方式破解。开发者工具检测则利用窗口尺寸、Console特性等识别调试行为,可通过属性重写或模拟正常环境来规避。文章通过具体代码示例,展示了攻防双方的核心技术思路,为Web安全防护提供了实用参考。
反调试手段 源码加注释
05-05
几种反调试方法+源码+注释
各种反调试技术原理与实例 VC版[学习CK].
11-10
反调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
反[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1252
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的反跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
反调试技巧总结-原理和实现
weixin_30535843的博客
06-07 542
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
常见几种脱壳方法.pdf
09-03
常见几种脱壳方法 在这篇文章中,我们将讨论常见的脱壳方法,包括压缩壳和加密壳两种类型的壳。脱壳是指从程序中删除壳保护的过程。 一、概论 壳的出现是程序作者想对程序资源进行压缩和注册保护的目的,因此可以...
易语言源码易语言反调试模块源码.rar
02-18
7. **合法API滥用**:利用合法的系统API来进行反调试也是一种常见手法。例如,通过频繁地调用某些API来检测是否被调试,或者利用API来隐藏进程、线程等信息。 8. **硬件级反调试**:除了软件层面的反调试,还有一些...
精选资源
易语言-反调试模块易语言
06-29
“易语言源码大全”可能包含了各种易语言编写的示例和实践项目,这些源码可以帮助初学者理解和学习易语言的语法特性、编程技巧以及常见问题的解决方法。通过研究这些源码,开发者可以提升对易语言的掌握程度,同时也...
各种反调试技术原理与实例
04-22
各种反调试技术原理与实例,各种反调试技术原理与实例
反调试手段
weixin_30391339的博客
11-20 205
调用函数检测方式 ---------------------------------------------------- IsDebuggerPresent(检测本进程) 检查进程环境块(PEB)中IsDebugged标志 如果没有被调试就返回0,如果调试附加了进程,函数返回非零值 CheckRemoteDebuggerPresent(检测其他进程) 这个函数和上面的函数检测的...
一些反调试手段及对应的逆向思路
iopoint的专栏
07-06 2444
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是反调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来反调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“反”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
【学习记录】各种反调试手段总结
weixin_34192993的博客
09-30 410
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 反调试 反虚拟机 android java层 常见的Android native反调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。 2、根据上面说的/proc/$pid/status中T...
反调试技术
nareku的博客
06-21 1503
思来想去还是先写反反调试,壳的话打算在PE文件内容里写反调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些反调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
Win32下常见反调试技术
HexRain的专栏
12-17 5142
1 探索内存差异 跟到的一个IceSword用户层程序中的一个反调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
反调试主要方法简述
bilibili的博客
09-25 1245
反调试的笔记
反调试技巧
weixin_30711917的博客
05-22 273
一、 前言 部分代码和参考资料来源:1、<<脱壳的艺术>> hawking2、<<windows anti-debugger reference>> Angeljyt3、http://bbs.pediy.com 4、<<软件加密技术内幕>> 看雪学院5、<<ANTI-UNPACKER TRICKS&g...
易语言实现反调试技术的方法与应用
**常见反调试技术方法** 1. 时间检查:比较程序正常运行和在调试器下运行时的时间差异。通常调试器运行的速度会比正常运行时慢,因此程序可以通过这种时间差异来判断是否被调试。 2. 断点检测:利用调试器设置...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值